威胁情报相关标准简介

前言

本文分上下两篇，整理了一些有关威胁情报（ThreatIntelligence）的文献中所提及的标准与规范，加以部分的个人观点，期望能有助于增进读者对威胁情报的了解。上篇为大家介绍MITRE相关系列的六种标准，下篇中介绍一些其他机构发布的主流标准，以及我国于年10月份正式发布的威胁情报国家标准。

美国在威胁情报领域起步较早，发展较快，因而建立的标准也较多。

作者：大象无形

来源：中国保密协会科学技术分会

上篇

定义

许多机构及文献都曾阐述过威胁情报的定义，目前接收范围较广的是国际权威IT咨询机构Gartner提出的定义：威胁情报是关于IT或信息资产所面临的现有或潜在威胁的循证知识，包括情境、机制、指标、推论与可行建议，这些知识可为威胁响应提供决策依据。

在全国乃至全球范围内进行威胁情报共享，将海量的威胁情报信息汇集起来，可以有效地提高网络空间的安全防御能力。

概述

在威胁情报信息共享方面，美国发展迅速，提出了众多威胁情报共享交换标准。目前国际上尚无通用的威胁情报相关标准，当前的通常做法是用STIX作情报描述，用TAXII传输数据，用CybOX作为威胁情报词汇。以上所提的三个标准皆是由MITRE发布，除此之外，MITRE系列标准还包括MAEC、OVAL、CAPEC等。

STIX

STIX（StructuredThreatInformationeXpression，结构化威胁信息表达式）由MITRE（一个美国非营利性组织）联合DHS（美国国土安全部）发布，是用来交换威胁情报的一种语言和序列化格式。STIX是开源的、免费的，让那些有兴趣的人做出贡献并自由提问。使用STIX规范，可以通过对象和描述关系清晰地表示威胁情报中的多方面特征，包括威胁因素、威胁活动、威胁属性等。STIX信息可以直观地展示给分析师，或者以JSON形式存储以便快速地进行机器读取。

STIX的适用场景包括以下四种：

（1）威胁分析：包括威胁的判断、分析、调查、保留记录等；

（2）威胁特征分类：通过人工方式或自动化工具将威胁特征进行分类；

（3）威胁及安全事件应急处理：安全事件的防范、侦测、处理、总结等，对以后的安全事件处置能够有很好的借鉴作用；

（4）威胁情报分享：用标准化的框架进行威胁情报描述与共享。

STIX有两个版本：STIX1.0基于XML定义，STIX2.0基于JSON定义；STIX1.0定义了图1所示的8种对象，STIX2.0定义了12种域对象（将1.0版本中的TTP与ExploitTarget拆分为AttackPattern,Malware,Tool,Vulnerability；删去了Incident；新增了Report,Identity,IntrusionSet）和2种关系对象（Relationship,Sighting）。

图1STIX架构

TAXII

TAXII（TrustedAutomatedExchangeofIntelligenceInformation，情报信息的可信自动化交换）是用来基于HTTPS交换威胁情报信息的一个应用层协议。TAXII是为支持使用STIX描述的威胁情报交换而专门设计的，但是也可以用来共享其他格式的数据。需要注意的是，STIX和TAXII是两个相互独立的标准，也就是说，STIX的结构和序列化不依赖于任何特定的传输机制，而TAXII也可用于传输非STIX数据。

使用TAXII规范，不同的组织机构之间可以通过定义与通用共享模型相对应的API来共享威胁情报。TAXII定义了一个服务信息交换集合和一个TAXII客户端服务器需求集，以及如下两种主要服务来支持多种通用共享模型。

（1）汇聚服务（Collections）：由TAXII服务器作为情报中心汇聚威胁情报，TAXII客户端和服务器以请求-响应模型交换信息，多个客户端可以向同一服务器请求威胁情报信息。

（2）通道服务（Channels）：由TAXII服务器作为通道，TAXII客户端之间以发布-订阅模型交换信息。通道服务允许一个情报源将数据推送给多个情报用户，同时每个情报用户可接收到多个情报源发送的数据。

汇聚服务和通道服务可以用不同的方式进行组织，比如可以将两种服务组合在一起来支持某一可信组的需求。通过这两种服务，TAXII可支持所有广泛使用的威胁情报共享模型，包括辐射型（hub-and-spoke）、点对点（peer-to-peer），订阅型（source-subscriber）。

图2TAXII服务模型

CybOX

CybOX（CyberObservableeXpression，网络可观察表达式）定义了一种表征计算机可观察对象与网络动态和实体的方法，现已经被集成到STIX2.0中。可观察对象可以是动态的事件，也可以是静态的资产，例如HTTP会话、X证书、文件、系统配置项等。CybOX规范提供了一套标准且支持扩展的语法，用来描述所有可被从计算系统和操作上观察到的内容，可用于威胁评估、日志管理、恶意软件特征描述、指标共享和事件响应等。

图3CybOX数据框架

MAEC

MAEC（MalwareAttributeEnumerationandCharacterization，恶意软件属性枚举与特性描述）是一种共享恶意软件结构化信息的标准化语言。MAEC的提出旨在消除恶意软件描述当前存在的模糊性和不确定性问题，并降低对签名的依赖性，从而为改变恶意软件研究和响应提供基础。通过这种方式，MAEC寻求改善有关恶意软件的人与人、人与工具、工具与工具，以及工具与人之间的通信，减少研究人员对恶意软件分析工作的潜在重复，并通过利用以前观察到的恶意软件实例的响应来促进对策的快速开发。

如图4所示，MAEC数据模型可以由点和边组成的连接图表示，其中MAEC顶层对象定义为节点，MAEC关系定义为边，关系用来描述MAEC对象之间如何关联。

图4MAEC数据模型

OVAL

OVAL（OpenVulnerabilityandAssessmentLanguage，开放式漏洞与评估语言）由MITRE开发，是一种在漏洞分析中常被用来定义检查项、脆弱点等技术细节的描述语言。OVAL使用标准的XML格式组织内容，包含OVAL定义格式（OVALDefinitionSchema），OVAL系统特性格式（OVALSystemCharacteristicsSchema）与OVAL结果格式（OVALResultSchema）三种格式。其中OVAL定义格式具有较为重要的作用，它提供了对系统进行安全评估的操作指南，具有较好的可机读性，可用来描述系统的配置信息、分析系统的安全状态、报告评估结果等。典型的OVAL定义格式的XML文档结构较为简单，主要是将定义（Definition）、测试（Test）、对象（Object）、状态（State）和变量（Variable）等各要素进行枚举，如图5所示。另外，OVAL系统特性格式用于描述系统信息快照，该快照可用于和OVAL定义文件进行匹配以得出评估结果；OVAL结果格式用于描述评估结果。

然而由于表达内容、应用场景的局限性，OVAL并不能满足当前各厂商对威胁情报共享的普遍需求，因此逐步被STIX取代。

图5OVAL语言架构

CAPEC

CAPEC（CommonAttackPatternEnumerationandClassification，常见攻击模式枚举与分类）致力于提供一个关于常见攻击模式的公共可用分类，从而帮助用户理解敌人如何利用应用程序中的弱点和其他支持网络的性能来进行攻击。

“攻击模式”是对敌方利用网络性能的已知弱点来进行攻击的常用属性和方法的描述。攻击模式定义了敌人可能面临的挑战以及他们如何解决它，这些解决方法来源于在破坏性环境中而非建设性环境中应用的设计模式的概念，并且通过对特定的现实世界的开发实例的深入分析生成。

每个攻击模式捕获关于如何设计和执行攻击的特定部分的知识，并指导如何减轻攻击的有效性。攻击模式帮助开发应用程序或网络管理人员更好地理解攻击的特征以及如何阻止它们成功。

上篇总结

MITRE是由美国政府赞助的一个非盈利研发机构，向美国政府提供系统工程、研究开发和信息技术支持。以上六种标准皆由MITRE研发或协助托管，详细内容见各标准的

转载请注明：http://www.shijichaoguyj.com/wxbz/5594.html